下半年软件评测师下午试题解析及答案Word文档格式.docx

1、10006.698%【问题3】 对系统检索功能及预订功能执行负载压力测试，测试结果如表12所示。请指出服务器资源利用情况cpu占用率的测试结果是否满足性能需求并说明原因。表12 系统测试结果服务器资源利用情况CPU占用率（%）（平均值）检索功能并发用户预订功能并发用户数5035.510087.312092.6【问题4】（6分） 根据【问题2】和【问题3】的测试结果，试分析该系统的可能瓶颈。参考答案：问题1、该酒店预订系统在生产环境下承受的主要负载类型： 检索功能、预订功能并发用户的操作是属于并发执行负载； 连续运行72小时是属于疲劳强度负载； 大量“稿件查询”操作是属于大数据量负载。对系统检索

2、功能执行负载压力测试，响应时间和交易执行成功率的测试结果不能满足性能需求。因为：1、系统检索功能执行并发用户数为900时，其响应时间为3.7s与检索响应时间在3s以内不能满足性能需求，交易执行成功率为100%满足性能需求。2、系统检索功能执行并发用户数为1000时，其响应时间为6.6s与检索响应时间在3s以内不能满足性能需求，交易执行成功率为98%不能满足性能100%需求。 根据【问题2】和【问题3】的测试结果，该系统的存在瓶颈。服务器资源利用情况：1在执行检索功能测试时并发用户为900、1000时响应时间超过3s；2在检索功能并发用户为900，预订功能并发用户数为100时，CPU占用率（%）

3、（平均值）达到87.3超过85%；3在检索功能并发用户为1000，预订功能并发用户数为120时，CPU占用率（%）（平均值）达到92.6超过85%；可能的瓶颈如下：（1）服务器CPU 性能不足；（2）数据库设计不足或者优化不够；（3）检索功能预订功能应用软件设计不足或没有优化；（4）网络带宽不足。试题二（共15分）白盒测试阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。逻辑覆盖法是设计白盒测试用例的主要方法之一，它是通过对程序逻辑结构的遍历实现程序的覆盖。针对以下由C语言编写的程序，按要求回答问题。Struct_ProtobufCIntRange Int start_value;

4、 Unsigned orig_index;typedef struct_ProtobufCIntRange ProtobufCIntRange;in tint_range_lookup（unsigned n_ranges,const ProtobufCIntRange*ranges,int value） unsigned start,n; /1 start=0; n=n_ranges; while （nl） /2 unsigned mid=start+n/2;if（value=rangesmid.start_value+ （int）（rangesmid+1.orig_index-rangesm

5、id.orig_index） /5 unsigned new_start=mid+1; /6 n=start+n-new_start; start=new_start;else /7 return（value-rangesmid.start_value）+rangesmid.orig_index;if（n0） /8 unsigned start_orig_index=rangesstart.orig_index; unsigned range_size=rangesstart+1.orig_index-start_orig_index; if （rangesstart.start_value=

6、value &valuel2rangesmid.start_value3value=rangesmid.start_value+（int）（rangesmid+1.orig_index-rangesmid.orig_index） 45rangesstart.start_value=value&（int）（rangesstart.start_value+range_size）6n=rangesmid.start_value8Value9Nvalue or value=（int）（rangesstart.start_value+range_size） 本问题考查白盒测试用例设计方法中的基本路径法。

7、涉及到的知识点包括：根据代码绘制控制流图、计算环路复杂度。 控制流图是描述程序控制流的一种图示方法。其基本符号有圆圈和箭线：圆圈为控制流图中的一个结点，表示一个或多个无分支的语句；带箭头的线段称为边或连接，表示控制流。基本结构如下所示： 根据题中程序绘制的控制流图如下所示。其中要特别注意的是，如果判断中的条件表达式是复合条件，即条件表达式是由一个或多个逻辑运算符连接的逻辑表达式，则需要改变复合条件的判断为一系列之单个条件的嵌套的判断。本题程序中，if （rangesstart.start_value（int）（rangesstart.start_value+range_size）这条判断语句中

8、的判定由两个条件组成，因此在画控制流图的时候需要拆开成两条判断语句。 环路复杂度用来衡量一个程序模块所包含的判定结构的复杂程度，数量上表现为独立路径的条数，即合理地预防错误所需测试的最少路径条数。环路复杂度等于图中判定结点的个数加1，图中判定结点个数为6，所以（G）7。本问题考查白盒测试用例设计方法中的基本路径法。path11-2-8-9-10-11-13path21-2-8-9-10-11-12path31-2-8-9-10-12-13path41-2-8-9-12-13path51-2-3-4-2path6 1-2-3-5-6-2path7 1-2-3-5-7-2试题三（共17分）WEB链

9、接、安全测试阅读下列说明回答问题1至问题4，将解答填入答题纸的对应栏内。 某企业想开发一套B2C系统，其主要目的是在线销售商品和服务，使顾客可以在线浏览和购买商品和服务，系统的用户的IT技能，访问系统的方式差异较大，因此系统的易用性、安全性、兼容性等方面的测试至关重要。 系统要求： （1）所有链接都要正确； （2）支持不同移动设备，操作系统和浏览器； （3）系统需通过SSL进行访问，没有登录的用户不能访问应用内部的内容。 简要叙述链接测试的目的以及测试的主要内容。（4分） 简要叙述为了达到系统要求（2），要测试哪些方面的兼容性。 本系统强调安全性，简要叙述Web应用安全测试应考虑哪些方面。 针

10、对系统要求（3），设计测试用例以测试Web应用的安全性。链接测试的目的：用来检验Web 网站提供信息的正确性、准确性和相关性。测试的主要内容：系统的链接测试主要测试如下3 个方面：1）每个链接是否能够链接到目标页面2）被链接的页面是否存在3）是否存在孤立页面 为了达到系统要求能支持不同移动设备，操作系统和浏览器；要测试的兼容性见下表：表：兼容性测试矩阵示例浏览器操作系统IE7、8、9FrirfoxGoole ChromeSafari.Windowss XPWindwos 7AndroidiosWeb应用安全测试应考虑下面内容： 目录测试 SSL套接字测试 登录验证 日志文件 脚本语言 系统需通

11、过SSL进行访问，没有登录的用户不能访问应用内部的内容。设计测试用例以测试Web应用的安全性。解析：SSL协议提供的服务主要有： 1）认证用户和服务器，确保数据发送到正确的客户机和服务器；2）加密数据以防止数据中途被窃取；3）维护数据的完整性，确保数据在传输过程中不被改变。第4问需要为Web应用的安全性设计测试用例，这里强调通过SSL（安全套接字）来进行访问，因此设计测试用例要考虑加密是否正确、信息是否完整等因素。试题四（共12分）安全测试 阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。 某企业为防止自身信息资源的非授权访问，建立了如图41所示的访问控制系统。企业访问控制系统该

12、系统提供的主要安全机制包括：（1） 认证：管理企业的合法用户，验证用户所宣称身份的合法性，该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制；（2） 授权：赋予用户访问系统资源的权限，对企业资源的访问请求进行授权决策；（3） 安全审计：对系统记录与活动进行独立审查，发现访问控制机制中的安全缺陷，提出安全改进建议。 对该访问控制系统进行测试时，用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面？每个方面具体的测试内容又有哪些？ 测试过程中需对该访问控制系统进行模拟攻击试验，以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击，并简要

13、说明模拟攻击的基本原理。对该系统安全审计功能设计的测试点应包括哪些？对该访问控制系统进行测试时，用户权限控制是其中的一个测试重点。两个方面:评价用户权限控制的体系合理性，是否采用三层的管理模式即系统管理员、业务领导和操作人员三级分离；用户名称基本采用中文和英文两种，对于测试来说，对于用户名称的测试关键在于测试用户名称的唯一性。用户名称的唯一性体现有哪些方面？同时存在的用户名称在不考虑大小的状态下，不能够同名；对于关键领域的软件产品和安全要求较高的软件，应当同时保证使用过的用户在用户删除或停用后，保留该用户记录，并且新用户不得与之同名。测试过程中需对该访问控制系统进行模拟攻击试验，以验证其对企业

14、资源非授权访问的防范能力。模拟攻击试验：对于安全测试来说，模拟攻击试验是一组特殊的黑盒测试案例，我们以模拟攻击验证软件或信息的安全防护能力。可采用冒充、重演、消息篡改、服务拒绝、内部攻击、外部攻击、陷阱门、特洛伊木马方法进行测试。泪滴（teardrop）。泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括service pack 4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃。防御措施有服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。口令猜测。一旦

15、黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户账号，然后因为使用简单的密码或者没有设密码，导致黑客能很快的将口令猜出。当然事实上用蛮力是可以破解任何密码的，关键是是否迅速，设置的密码是否能导致黑客花很大的时间和效率成本。防御措施有要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。伪造电子邮件。由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，

16、或者是一个引向恶意网站的链接。防御措施有使用PGP等安全工具并安装电子邮件证书。对该系统安全审计功能设计的测试点应包括:能否进行系统数据收集，统一存储，集中进行安全审计；是否支持基于PKI的应用审计；是否支持基于XML的审计数据采集协议；是否提供灵活的自定义审计规则。试题五（共12分）软件可靠性测试阅读以下说明，回答问题1至问题3，将解答填入答题纸的对应栏内。现代软件的飞速发展，使得系统对软件的依赖越来越强，对软件可靠性的要求也越来越来高，因此发展以发现软件可靠性缺陷为目的的可靠性测试技术也日益迫切。一个完整的软件可行性测试如图51所示。请写出图中（1）（5）。解释说明软件可靠性测试的目的，并

17、说明狭义和广义软件可靠性测试的区别。（2分） 可靠性目标是指客户对软件性能满意程度的期望。通常采用失效严重程度、可靠度、故障强度、平均无故障时间等指标来描述。请分别解释其含义。课本P488一个完整的软件可行性测试如图52所示。（1）确定可靠性目标 （2）可靠性数据 （3）分析可靠性的因素 （4）可靠性模型 （5）可靠性评价可靠性测试的目的可归纳为以下三个方面：（P489） 发现软件系统在需求、设计、编码、测试、实施等方面的各种缺陷。 为软件的使用和维护提供可靠性数据。 确认软件是否达到可靠性的定量要求。广义的软件可靠性测试是指为了每终评价软件系统的可靠性而运用建模、统计、试验、分析、评价等一系

18、列手段对软件系统实施的一种测试。狭义的软件可靠性测试是指为了获取可靠性数据，按预先确定的测试用例，在软件的预期使用环境中，对软件实施的一种测试。狭义的软件可靠性测试也叫“较件可靠性试验（sottwan: reliability test）”，它是面向缺陷的测试，以用户将要使用的方式来测试软件，每一次测试代表用户将要完成的一组操作，使测试成为最终产品使用的预演。这就使得所获得的测试数据与软件的宴际运行数据比较接近，可用于软件可靠性评价。失效严重程度类就是对用户具有相同程度影响的失效集合。（P486）可靠度就是软件系统在规定的条件下，规定的时间内不发生失效的概率。（P483）故障强度是指:以单位运转时间的软件故障停机小时表示停机时间的长短，其表式为：软件故障强度率=100%*软件故障停机小时/软件实际运转时间。平均无故障时间（MTTF）：全称是Mean Time To Failure，即平均失效时间。系统平均能够正常运行多长时间，才发生一次故障。系统的可靠性越高，平均无故障时间越长。